Привет! Я Наталья Новикова, юрист по договорам, автор книг в жанре фантастики и приключений.
Когда ИП-шки или юрлица просят меня составить NDA (соглашение о неразглашении коммерческой тайны), я сразу говорю: оно у вас не будет работать, не тратьте деньги.
Ну потому что это нужно создать целую систему, при которой получится отсудить у работника пару миллионов за слив информации. Это долго и требует постоянного внимания.
Но почему-то у нас принято думать, что если сотрудник подписал пять листочков "Соглашения NDA", где написан штраф 1 000 000 рублей за разглашение любой секретной информации, то компания может спать спокойно: теперь за любой слив базы или отчёта о прибыли конкурентам она поимеет денег с того, кто их слил.
А для того, чтобы получить эти денежки, нужно дойти до суда. Но вот в суде пять листочков NDA не значат вообще ничего. У суда появятся вопросы:
что у вас относится к секретной информации? Покажите перечень;
а сотрудник знал, что это нельзя рассказывать? Покажите его подпись на документе, где ему разъяснили это;
у сотрудника вообще был доступ к этой информации? Покажите его подпись в журнале, когда давали доступ;
сколько конкретно денег вы потеряли из-за того, что информация ушла к конкуренту? Покажите чеки, на что вы тратились, чтобы устранить проблему. Нет, упущенная прибыль не катит. Нужны реальные цифры.
И самый главный вопрос: чем вы докажете, что именно этот сотрудник слил информацию?
Вот это уже будет предметный разговор. И на многие вопросы ответов не будет, если компания просто подписала NDA с каждым сотрудником и оставила пылиться в папке на полке.
И здесь есть две стороны вопроса: техническая, которая больше по части уважаемых читателей Хабра, которые смыслят в разработке и фичах, и юридическая - по моей части. Я освещу именно юридическую сторону вопроса, а в комментах мы вместе можем обменяться кейсами, как технически реализовать ограниченный доступ к информации в компании.
Как должна выглядеть система, в которой коммерческая тайна действительно защищена, и можно рассчитывать на компенсацию в суде в случае слива
Самое первое, что должно быть в компании - единый документ, в котором написано, что вообще относить к коммерческой тайне, где она хранится, кому и когда её можно передавать.
Называться он может, например, «Положение о режиме коммерческой тайны в “название юридического лица”».
Вот пример из банка, одного акционерного общества, одного поисковика
Затем нужно составить и подписать соглашение NDA с каждым сотрудником и фрилансером.
Лучше, когда есть отдельные соглашения для разных должностей, потому что администратору и бухгалтеру нужны разные документы и сведения, и размер ответственности у них разный.
Какая ответственность вообще может быть за разглашение коммерческой тайны:
-
уголовная по ст. 183 УК РФ.
"2. Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе".
увольнение работника (подп. «в» п. 6 ст. 81 ТК РФ).
Например, апелляционным определением Московского городского суда от 26.11.2015 по делу № 33-44248/2015 признали законность увольнения работника, нарушившего коммерческую тайну. Тогда сотрудница банка отправила по электронной почте некоему лицу информацию о сумме переводов с карты некоего другого лица. Её уволили, и суд встал на сторону банка.
Вот ещё: Определением Московского городского суда от 29.03.2016 № 4г-2218/2016 признали законность увольнения работника, нарушившего коммерческую тайну. Работодатель ознакомил его под подпись с необходимыми документами, и вообще оформил всё, как надо. Потому и выиграл суд.
возмещение ущерба в полном объеме (п. 7 ст. 243 ТК РФ, ст. 238 ТК РФ, п. 15 постановления Пленума ВС РФ от 16.11.2006 № 52)
Вот здесь важно понимать, что сотрудник может компенсировать только прямые убытки.
Это значит, что он не должен платить за упущенную выгоду - суммы, которые компания "не заработала", из-за того, что информация попала к конкуренту. Убытки считают по правилам ст. 1472 ГК РФ. А вот примеры здесь привести проблематично, потому как суды в основном отказывают в таком взыскании. Есть пример с директором ООО: с него взыскали убытки в размере 3 000 000 руб. за переманивание клиентов к конкурентам (решение Кировского районного суда г. Уфы по делу № 2-5196/2020).
Проще говоря, должна быть причинно-следственная связь между убытками компании и действиями конкретного сотрудника, который разгласил коммерческую тайну.
Теперь видно, что сами по себе соглашения NDA и положение не будут работать, потому что совершенно не ясно, кто из сотрудников получил доступ к секретному документу и в какой момент. Нет и возможности доказать, что сотрудник должен был знать о секретности данных, попавших ему в руки.
В компании регулярно должны вести журнал, в котором будет записано, кто, когда и к каким сведениям получил доступ
Компания должна наносить на все секретные документы гриф «Коммерческая тайна» или «Секретно».
Гриф «Коммерческая тайна» прописывают в колонтитулах и указывают данные компании, которая владеет информацией. Либо ставят печать с такой надписью. Делается это для того, чтобы каждый, кто получает доступ к такому документу, понимал, что информация секретная.
Компания должна подписывать акты передачи информации со всеми, кому открывает доступ или передаёт документ.
В акте должно быть указано, какие конкретно данные передаются сотруднику, под его подпись — чтобы зафиксировать, у кого был доступ, например, к базе клиентов и в какое время.
Вывод: чтобы понять, может ли компания получить штраф за нарушение коммерческой тайны, нужно понаблюдать, сколько действий, происходящих каждый день в компании, зафиксировано на бумаге в журналах, актах, списках, чтобы можно было отследить, кому, в каком объеме и на какой срок передается важная секретная информация.
А теперь вопрос к вам, уважаемые хабровцы. Знаю, что некоторые компании находят IT-решения, которые могут ограничить или запретить копирование информации на флешки и отправку по почте. Вы знаете такие примеры?
Возможно технически внедрить такую штуку, если придёт, скажем, ИП-шник с 5-ю сотрудниками или юрлицо с двумя филиалами и штатом в 20 человек, из которых 15 на удалёнке в разных городах? И какой это примерно бюджет? Чтобы понять, насколько реален такой софт для микро- и средних предпринимателей.
Буду рада видеть в тг-канале «Истории под соусом». Пишу о том, как организовываю время, чтобы успевать читать, как нахожу творчество в "скучной" жизни.
Комментарии (48)
stkonung
07.11.2023 12:22+2Пример знаю, но в большой транснациональной компании. Кстати, там не подписывают NDA, там в должностной инструкции,которую ты тоже подписываешь, определено к чему по должности ты можешь иметь доступ (категориям данных). Ну и есть документы, регламентирующие порядок работы с КТ.
ИП это не сможет, конечно, впрочем, и не только ИП, это реально очень дорого и медленно.
chieftain_yu
07.11.2023 12:22+2Знаю, что некоторые компании находят IT-решения, которые могут ограничить или запретить копирование информации на флешки и отправку по почте.
Это называется DLP (Data Leak Prevention. Бывают и другие расшифровки со схожим смыслом).
И таких систем немало - можно посмотреть википедийный Список_DLP-систем
neboxodov
07.11.2023 12:22Чисто для поинтересоваться как защититься от фото монитора к ком тайной или ПНД на личное устройство?
chieftain_yu
07.11.2023 12:22+1Смотрим приложением постоянно снимающую веб-камеру монитора.
Пользователь пытается навести на монитор нечто, похожее на телефон или фотоаппарат - смена изображения на экране (по разным вариантам - например, выдача текста с предупреждением и блокирование отображения информации, блокировка ОС, наложение на экран водяного знака "Василий Пупкин 30.02.2024 25:62:78" для последующего расследования при обнаружении снимка там, где быть не должно или еще чего подобное) плюс отправка безопаснику компании события попытки фотографирования экрана с приложением кадра/ролика для ручной оценки, правда пользователь пытался спереть инфу или он просто бумажник доставал, ошибочно воспринятый за телефон...
Ясное дело, такой надзор должен быть закреплен юридически до введения, сведения о возможности постоянной записи - доведены до работника под роспись и все такое.
AnnaSavva
07.11.2023 12:22+1Смотрим приложением постоянно снимающую веб-камеру монитора.
То есть, если на веб-камеру сначала наклеят стикер, а потом будут фоткать, то безопасность не сработает?
chieftain_yu
07.11.2023 12:22+1Вы же понимаете, что проблемы делятся на три основных категории - технические, организационные и политические, и решать каждую категорию проблем надо предназначенными для этого категориями инструментов?
Заклейка камеры - это организационная проблема.
ПО может только уведомить безопасника "не получаю сигнала" - и дальше проблема решается именно организационными, а не техническими мерами.
Или прекратить отображать экран до момента, когда начнет получать видеосигнал. Это хуже - но тоже возможно.
Или развернуть видеонаблюдение не только с экранной камеры, но и с внешних, слабодоступных для заклейки.
И еще - абсолютно защищенная система будет стоить бесконечное количество денег - и потому (среди прочего) не существует.
PereslavlFoto
07.11.2023 12:22Абсолютно защищенная система, это когда безопасник ходит по помещению и наблюдает за работой. Так на галерах было сделано.
Stas_mpower
07.11.2023 12:22А как защититься от перехвата hdmi ? Устройства стоят копейки и могут писать сколько хочешь
AndreiMoscow
07.11.2023 12:22DataNova OR модуль DSS (https://ct-sg.ru/) контролирует камеру компьютера и если видит съемку экрана выключает монитор. Также можно изымать устройства при входе в организацию, на некоторых военных организациях так делают.
Странно только что автор не рассказала как наносить гриф на электронную информацию или файл с базой данных.
AnnaSavva
07.11.2023 12:22Если в компании предусмотрен СЭД, то к таким файлам могут давать доступ по ЭЦП.
novikovalegal Автор
07.11.2023 12:22Проще говоря: я работаю в Word. Как нанести гриф на базу данных, не представляю, потому подняла эту тему. Хочется понимать больше в этом процессе
uuger
07.11.2023 12:22+3Компания должна наносить на все секретные документы гриф «Коммерческая тайна» или «Секретно»
Грифы "секретно" и "ДСП" устанавливают только гос.органы и гос. предприятия. Если у вас в компании планируется получение подобных документов, придётся пройти интересную процедуру сертификации для работы с гостайной. И ответственность за её утечку несколько другая
novikovalegal Автор
07.11.2023 12:22+2А есть отсылка к нормативному акту?
У меня такое: ст. 61 Федерального закона от 29.07.2004 г. № 98-ФЗ
2. "Обладатель информации, составляющей коммерческую тайну, имеет право:
1) устанавливать, изменять, отменять в письменной форме режим коммерческой тайны в соответствии с настоящим Федеральным законом и гражданско-правовым договором"
uuger
07.11.2023 12:22Постановление Правительства РФ от 4 сентября 1995 г. N 870 "Об утверждении Правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности"
novikovalegal Автор
07.11.2023 12:22+1Почитала. То именно про гос. тайну. Коммерческую тайну может установить любое юрлицо и утвердить грифы секретности
rsashka
07.11.2023 12:22Так уже написали, что степени секретности относятся только к государственной тайне, а не к коммерческой.
novikovalegal Автор
07.11.2023 12:22Ну как-то же секретность в коммерции нужно обозначать.
rsashka
07.11.2023 12:22+3Степень коммерческой тайны, что ли?
Коммерческая тайна либо есть, либо нет.
У нее же нет степеней "тайности", или я что-то не понимаю?
saboteur_kiev
07.11.2023 12:22+1Секретность в коммерции обычно не является вопросом госбезопасности и госурегулирования (уголовка).
novikovalegal Автор
07.11.2023 12:22Да уголовка для полноты материала статьи. Я с ней тоже ни разу не сталкивалась.
uuger
07.11.2023 12:22+1Коммерческую тайну может установить любое юрлицо и утвердить грифы секретности
Откройте закон о «коммерческой тайне», на который вы ссылаетесь, и прочитайте какой гриф должен устанавливаться на носителях коммерческой тайны, там это явно прописано.
chieftain_yu
07.11.2023 12:22Насколько помню, грифовать могут только органы власти.
Коммерческие компании могут ставить только метку конфиденциальности.
saboteur_kiev
07.11.2023 12:22+2В среднестатистическом аутсорсе тоже есть юристы и все быстро устраивается.
подписываешь NDA, где тебе явно указывают что публиковать можно только ту информацию, которая уже опубликована компанией на публичных ресурсах, все остальное - внутренее. Внутреннюю нельзя публиковать нигде кроме ресурсов компании (корпоративная почта, корпоративный мессенджер).
Конфиденциальную только по служебной необходимости. Документ готов для суда.Компания устраивает тебе онлайн курс по типам информации, где есть слайды, голос, видео с примерами что есть конфиденциальное, что есть корпоративное, что есть приватное, что есть публичное. Ставишь галочку по окончании курса. Даже вопросник есть. Все, твоя подпись о том, что ты ознакомлен с тем что есть секретная информация и что не есть - готова для суда.
Убытки можно предъявить либо по штрафам либо по потерям репутации. Но да, привлекать в суд и удерживать можно в рамках выплаченных денег, ибо это не секретная информация, а коммерческая. Тут я согласен, что в НДА штрафы не могут превышать размеры ЗП. И если еще удержать и уволить не проблема, то стянуть деньги с уже уволенного сотрудника - маловероятно в СНГ.
Но, например если из-за утечки данных, компания была вынуждена заплатить штраф какому-то регулятору, то для суда это достаточное обоснование.
А доказать кто именно сделал утечку - ну так если утечка произошла, то если это не работали профессиональные хакеры, найти несложно.
Читал про ситуацию, когда сотрудник делал себе скриптики для упрощения работы и тупо хранил их на гитхабе. С паролями, адресами. Там достаточно было загуглить.
novikovalegal Автор
07.11.2023 12:22Читал про ситуацию, когда сотрудник делал себе скриптики для упрощения работы и тупо хранил их на гитхабе.
Этот кейс попахивает каким-то раздолбайством и нарушением элементарных правил безопасности
saboteur_kiev
07.11.2023 12:22да, но отвертеться что это не ты в таких случаях уже точно не выйдет.
Собственно NDA подписывают не для того, чтобы противостоять реальным злоумышленникам, а именно против для раздолбаев, которых реально хватает, и все мероприятия по этому поводу должны быть достаточно пафосные, чтобы хоть как-то отложиться в памяти. Чтобы не тестили продакшен скрипты на шеллчек или не форматировали конфиденциальные письма с клиентскими данными на paste.bin
vagon333
07.11.2023 12:22+2Совет: не забивайте на NDA.
Если серьезный контракт или серьезные деньги - читайте внимательно и не подписывайте с закрытыми глазами.Чтоб программисту попасть на деньги за нарушение NDA, компании не обязательно выйграть иск, достаточно его просто выкатить.
Пример непрямого "попадания" на деньги в штатах за нарушение (или даже просто разбирательство) по NDA:
- Бывший сотрудник в штатах, Флорида.
- Компания в Колорадо.
- Компания выставляет иск бывышему сотруднику за нарушение NDA.
- Суд в Колорадо.
- Нужен адвокат, представляющий сотрудника в Колорадо.
- Сотруднику нужно слетать пару раз в CO, непоймизачем.Итог:
- компания разобралась, что погорячилась и реального NDA не было.
- бывший сотрудник вынужден тратить деньги и время на найм адвоката, полеты, разъяснения и т.п. фигню, к которой у среднестатистического программера душа совсем не лежит.
Да, есть желание забить т.к. проблема была из-за overreaction одного из сотрудников и реального нарушения NDA не было, но если сотрудник "забивает", то истец выставляет иск.
Суд принимает решение и бывшего сотрудника "выставляют" на деньги по решению суда.saboteur_kiev
07.11.2023 12:22+2- бывший сотрудник вынужден тратить деньги и время на найм адвоката, полеты, разъяснения и т.п. фигню, к которой у среднестатистического программера душа совсем не лежит.
Если ты живешь в США, то душа к юриспруденции и вообще встроенное уважение к адвокатам у тебя должно быть с рождения.... это факт. Иначе - страдай
bungu
07.11.2023 12:22+1Вот предположим, я перешел на другую работу и применил на ней ряд наработок/решений с предыдущей, но исходные коды я не копировал. Может ли первый работодатель как-то защититься от такого? Не может же он запретить мне пользоваться накопленным опытом? И действуют ли вообще эти NDA после увольнения?
novikovalegal Автор
07.11.2023 12:22Это как идея, которую нельзя запатентовать. Вопрос в том, чтобы не было совпадений до степени смешения. Тогда сделал, как художник, и ничего не украл
sergey-gornostaev
07.11.2023 12:22+3Это уже NCA. Некоторые работодатели просят подписать соглашение о неконкуренции, подтверждающее ваше согласие после увольнения некоторый срок не работать на конкурентов. В рамках ТК РФ никакого веса не имеет, но кроме правовых факторов есть ещё джентльменское соглашение, честь и репутация. Если не считаете такое предложение справедливым, то лучше на него просто не соглашаться и поискать другого нанимателя.
PereslavlFoto
07.11.2023 12:22можно реально отсудить у работника пару сотен тысяч рублей за слив информации
200 000 рублей = зарплата почти за 2 года. Это очень много.
Debianer70
07.11.2023 12:22+2Но, если 200 000 разделить на 24 месяца, получится, что в месяц сотрудник получал 8 333 рубля. Да даже на 12 месяцев (16 667 руб). Сейчас пенсия выше...
PereslavlFoto
07.11.2023 12:22+1Представьте, что вы — предприятие. По указу президента РФ вы обязаны повысить зарплату сотрудникам. Однако денег в ФОТ этот указ не прибавляет. Раньше вы держали сотрудников на половинах ставки, платили им по 9 тысяч в месяц, но теперь так нельзя. Нужно повысить зарплату хотя бы в три раза!
Поэтому вы переводите сотрудников на 1/8 ставки и платите им те же деньги. Внезапно! На руки они получают по 9 тысяч в месяц, а в отчёте каждая их ставка получает целых 72 тысячи рублей!
iamoblomov
07.11.2023 12:22где в интерфейсе базы данных бекенда указать что база - коммерческая тайна?
ли это уже как несанкционированный доступ к информации?
neboxodov
07.11.2023 12:22Тема персональных данных не раскрыта ))) ибо за их разглашения тоже можно привлечь если они запрятаны внутри коммерческой тайны
2PAE
07.11.2023 12:22+2Прочитал заголовок и первую строчку воспринял так:
"Привет! Я Наталья Новикова, юрист по договорам - автор книг в жанре фантастики и приключений. "
novikovalegal Автор
07.11.2023 12:22+1Да всё так и есть, у нас юриспруденция часто ан грани фантастики :D
Arhammon
С КМО(материальная ответственность) тоже самое, при любом чихе она не действительна.